Zabezpečení hypervisoru ve vozovém parku Azure
Systém hypervisoru Azure je založený na Windows Hyper-V. Systém hypervisoru umožňuje správci počítače určit oddíly hosta, které mají samostatné adresní prostory. Samostatné adresní prostory umožňují načíst operační systém a aplikace fungující paralelně s operačním systémem (hostitelem), který se spouští v kořenovém oddílu počítače. Hostitelský operační systém (označovaný také jako privilegovaný kořenový oddíl) má přímý přístup ke všem fyzickým zařízením a periferním zařízením v systému (kontrolery úložiště, síťové adaptace). Hostitelský operační systém umožňuje oddílům hosta sdílet použití těchto fyzických zařízení tím, že každému oddílu hosta vystavuje "virtuální zařízení". Operační systém spuštěný v oddílu hosta tak má přístup k virtualizovaným periferním zařízením poskytovaným virtualizačními službami spuštěnými v kořenovém oddílu.
Hypervisor Azure je sestavený s ohledem na následující cíle zabezpečení:
| Cíl | Zdroj |
|---|---|
| Izolace | Zásady zabezpečení nenařizuje žádný přenos informací mezi virtuálními počítači. Toto omezení vyžaduje funkce v nástroji Virtual Machine Manager (VMM) a hardware pro izolaci paměti, zařízení, sítě a spravovaných prostředků, jako jsou trvalá data. |
| Integrita nástroje VMM | K dosažení celkové integrity systému se vytváří a udržuje integrita jednotlivých komponent hypervisoru. |
| Integrita platformy | Integrita hypervisoru závisí na integritě hardwaru a softwaru, na kterém závisí. I když hypervisor nemá přímou kontrolu nad integritou platformy, Azure při ochraně a detekci integrity základní platformy spoléhá na mechanismy hardwaru a firmwaru, jako je čip Cerberus . Nástroj VMM a hosté nebudou spuštěni, pokud dojde k ohrožení integrity platformy. |
| Omezený přístup | Funkce správy jsou vykonávány pouze autorizovanými správci připojenými přes zabezpečená připojení. Princip nejnižší úrovně oprávnění vynucují mechanismy řízení přístupu na základě role v Azure (Azure RBAC). |
| Auditování | Azure umožňuje auditovat zachytávání a ochranu dat o tom, co se děje v systému, aby ho bylo možné později zkontrolovat. |
Přístup Microsoftu k posílení zabezpečení hypervisoru Azure a subsystému virtualizace je možné rozdělit do následujících tří kategorií.
Silně definované hranice zabezpečení vynucované hypervisorem
Hypervisor Azure vynucuje několik hranic zabezpečení mezi:
- Virtualizované oddíly hosta a privilegovaný oddíl (hostitel)
- Více hostů
- Sama o sobě a hostiteli
- Sebe sama a všichni hosté
Hranice zabezpečení hypervisoru zajišťují důvěrnost, integritu a dostupnost. Hranice chrání před celou řadou útoků, včetně úniku informací postranním kanálem, odepření služby a zvýšení oprávnění.
Hranice zabezpečení hypervisoru také zajišťuje segmentaci mezi tenanty pro síťový provoz, virtuální zařízení, úložiště, výpočetní prostředky a všechny ostatní prostředky virtuálních počítačů.
Zmírnění rizik hloubkového zneužití ochrany
V nepravděpodobném případě ohrožení zabezpečení hranice zabezpečení hypervisor Azure zahrnuje několik vrstev zmírnění rizik, mezi které patří:
- Izolace hostitelského procesu hostujícího komponenty virtuálních počítačů
- Zabezpečení na základě virtualizace (VBS) pro zajištění integrity uživatelských komponent a komponent režimu jádra z bezpečného světa
- Více úrovní zmírnění zneužití. Omezení rizik zahrnují randomizaci rozložení adresního prostoru (ASLR), prevenci spouštění dat (DEP), ochranu před libovolným kódem, integritu toku řízení a ochranu před poškozením dat.
- Automatická inicializace proměnných zásobníku na úrovni kompilátoru
- Rozhraní API jádra, která automaticky inicializují přidělení haldy jádra pomocí technologie Hyper-V s nulovou inicializací
Tato omezení rizik jsou navržená tak, aby vývoj zneužití pro ohrožení zabezpečení mezi virtuálními počítači byl neproveditelný.
Silné procesy zajištění zabezpečení
Prostor pro útok související s hypervisorem zahrnuje softwarové sítě, virtuální zařízení a všechny plochy napříč virtuálními počítači. Prostor pro útok je sledován prostřednictvím automatizované integrace sestavení, která spouští pravidelné kontroly zabezpečení.
Všechny oblasti útoku na virtuální počítače jsou modelovány hrozby, kontrolovány kódy, fuzzed a testovány naším týmem red pro porušení hranic zabezpečení. Microsoft má program bug bounty, který za Microsoft Hyper-V platí cenu za relevantní ohrožení zabezpečení v opravňujících verzích produktů.
Poznámka
Přečtěte si další informace o silných procesech zajištění zabezpečení v Hyper-V.
Další kroky
Další informace o tom, co děláme pro zajištění integrity a zabezpečení platformy, najdete tady: